Alguns insighs sobre a Análise de Comportamento de Entidade do Usuário (UEBA)

Alguns insighs sobre a Análise de Comportamento de Entidade do Usuário (UEBA)

A Análise Comportamental de Usuário, ou UBA, era e ainda é o termo usado para descrever padrões de uso que indicam atividades incomuns, independentemente de virem de um hacker, funcionário mal intencionado, malware ou outro processo. Embora o UBA não impeça o acesso a um sistema crítico, ele pode identificar rapidamente a atividade e minimizar os riscos.

Por que olhar para entidades?


Há muita coisa acontecendo em relação à Entidade. A ideia chave é que a UEBA amplie o alcance de suas análises para abranger entidades de processos e máquinas. O analista do Gartner, Anton Chuvakin, tem uma boa explicação sobre o UEBA: ele ainda é o UBA, mas está mais aprimorado, com mais contexto de entidades e melhor análise.

Por que ir além do usuário?


Muitas vezes, faz sentido não olhar para contas de usuários individuais para detectar comportamentos incomuns. Por exemplo, os hackers podem estar usando vários usuários para iniciar sua pós-exploração – fazendo uma movimentação lateral para outras máquinas.

O foco não está na conta, mas no nível da máquina, que pode ser identificada por um endereço IP. Em outras palavras, procure por atividades incomuns em que o elemento comum é o endereço IP de uma estação de trabalho.

Ou, no caso do Windows instalado – regsvr32 ou rundell32 – que os hackers usam em um contexto não considerado normal, a entidade mais lógica a se concentrar é o próprio software.

Aprendizado de máquina e Análise de Comportamento de Entidade do Usuário


O guia do Gartner para o UEBA tem alguns insights sobre a UEBA e alguns casos em que seu uso foi apropriado. Como ele destaca, há mais ênfase na UEBA do que na UBA no uso de ciências de dados e aprendizado de máquina para separar atividades normais de pessoas e entidades das anormais.

O Gartner considera que o UEBA está sendo aplicado para usar em casos que a análise mais precisa e a coleta de mais contexto é essencial, incluindo:

  • Insiders maliciosos
  • Grupos de APT aproveitando vulnerabilidades de dia zero
  • Exfiltração de dados envolvendo novos canais
  • Monitoramento de acesso à conta de usuário

Como esses casos envolvem uma superfície de ataque mutável, o Gartner observou que o aprendizado de máquina é essencial para estabelecer uma linha de base derivada de “interações entre todos os usuários, sistemas e dados”. Mas, como pesquisadores apontam, não existe uma abordagem única para elaborar essas linhas de base.

Mesmo os maiores impulsionadores de análises baseadas em aprendizado de máquina dirão que existem limites e podem levar a falsos positivos. Em outras palavras, os algoritmos são tão sensíveis que alertam sobre condições que podem ser incomuns, mas não são anormais e indicativas de um invasor ou funcionário mal intencionado.

UEBA, dados limpos e modelos de ameaças


A grande questão para o UEBA é a fonte de dados. É muito difícil basear a análise de segurança no log de eventos brutos do Windows. É um processo complexo, e sujeito a erros, para correlacionar eventos a partir do log do sistema. Além disso, é um recurso intensivo. Existem soluções que pode produzir um resultado relacionado a eventos em arquivos mais limpos.

Outro problema relacionado aos algoritmos do UEBA, é que eles estão, em certo sentido, começando do zero: precisam ser treinados  por meio de treinamento formal supervisionado ou on-the-fly de maneira semi-supervisionada. Não há nada errado com essa ideia, já que é o modo como o aprendizado de máquina funciona.

Mas, no mundo da segurança de dados, temos uma grande vantagem, pois sabemos como a maioria dos incidentes mais críticos ocorre.

Isso é uma coisa boa!


Não precisamos depender somente das técnicas de aprendizado de máquina para aprender quais os principais fatores que determinam comportamentos anormais. Por exemplo, o movimento lateral, o acesso a credenciais e o escalonamento de privilégios são alguns dos métodos comuns conhecidos de invasores.

Começar com esses padrões bem compreendidos oferece um grande avanço na organização de dados de eventos. Isso naturalmente leva ao tópico da modelagem de ameaças.

Varonis e a modelagem de ameaças


Os modelos de ameaça são as principais características dos ataques organizados em categorias maiores e mais significativas. E é aí que a Varonis pode ajudar.

Sem qualquer configuração, os modelos de ameaças da Varonis estão prontos. A Varonis usa modelos de ameaça preditiva para analisar automaticamente comportamentos em várias plataforma e alertá-lo para um possível invasor. De infecções do CryptoLocker a contas de serviço comprometidas a funcionários insatisfeitos, nós detectamos e alertamos você sobre todos os tipos de comportamento anormal do usuário.

Solicite uma demonstração.